Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версии 9.5.2-альфа.9. и 8.6.22 адаптер аутентификации OAuth2, если он настроен без параметра useridField, только проверяет, что токен активен через конечную точку самоанализа токена поставщика, но не проверяет, принадлежит ли токен пользователю, указанному в authData.id. Злоумышленник с любым действительным токеном OAuth2 от того же провайдера может пройти аутентификацию под именем любого другого пользователя.
Это влияет на любое развертывание сервера синтаксического анализа, которое использует универсальный адаптер аутентификации OAuth2 (настроенный с помощью oauth2: true) без установки параметра useridField. Эта уязвимость исправлена в версии 9.5.2-alpha.9. и 8.6.22.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.5.2-alpha.9. and 8.6.22, the OAuth2 authentication adapter, when configured without the useridField option, only verifies that a token is active via the provider's token introspection endpoint, but does not verify that the token belongs to the user identified by authData.id. An attacker with any valid OAuth2 token from the same provider can authenticate as any other user. This affects any Parse Server deployment that uses the generic OAuth2 authentication adapter (configured with oauth2: true) without setting the useridField option. This vulnerability is fixed in 9.5.2-alpha.9. and 8.6.22.
Характеристики атаки
Последствия
Строка CVSS v4.0